İÇ DENETİM PERFORMANS STANDARTLARI 2000

advertisement
İÇ DENETİM PERFORMANS STANDARTLARI
2000 - İç Denetim Faaliyetinin Yönetimi
İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak
etkili bir tarzda yönetmelidir.
2010 - Planlama
İç Denetim Yöneticisi, kurumun hedeflerine uygun olarak, iç denetim faaliyetinin önceliklerini
belirleyen risk esaslı planlar yapmalıdır.
2010.A1 - İç denetim faaliyetinin görev planı, en az yılda bir kez yapılan bir risk
değerlendirmesine dayanmalıdır. Üst yönetim, denetim komitesi ve yönetim kurulu, bu
sürece dahil edilerek göz önüne alınmalıdır.
2010.C1 - İç denetim yöneticisi, görevin risk yönetimini geliştirme, katma değer yaratma ve
faaliyetleri geliştirme potansiyelini değerlendirerek, öne sürülen danışmanlık görevlerini kabul
etmeyi düşünmelidir. Kabul edilen bu görevler, plana dahil edilmelidir.
2020 - Bildirim ve Onay
İç Denetim Yöneticisi, önemli ara değişiklikler de dahil, iç denetim faaliyetinin planlarını ve
kaynak ihtiyaçlarını, gözden geçirme ve onay için üst yönetime, denetim komitesine ve
yönetim kuruluna bildirmelidir. İç Denetim Yöneticisi, kaynak sınırlamalarının etkilerini de
bildirmelidir.
2030 - Kaynak Yönetimi
İç Denetim Yöneticisi, onaylı planın uygulanabilmesi için, iç denetim kaynaklarının uygun ve
yeterli olmasını ve etkin bir şekilde kullanılmasını sağlamalıdır.
2040 - Politika ve Prosedürler
İç Denetim Yöneticisi, iç denetim faaliyetini yönlendirmek amacına yönelik politika ve
prosedürleri belirlemelidir.
2050 - Eşgüdüm
İç Denetim Yöneticisi; aynı çalışmaların gereksiz yere tekrarlanmasını asgarîye indirmek ve
işin kapsamını en uygun şekilde belirlemek amacıyla, ilgili güvence ve danışmanlık
hizmetlerini yerine getiren diğer iç ve dış sağlayıcılarla, mevcut bilgileri paylaşmalı ve
faaliyetleri bunlarla eşgüdüm içinde sürdürmelidir.
2060 - Yönetim Kurulu, Denetim Kurulu ve Üst Yönetime Raporlamalar
İç Denetim Yöneticisi, iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve
plana kıyasla performansı konularında, denetim komitesi ve yönetim kuruluna ve üst
yönetime dönemsel raporlar sunmalıdır. Bu raporlar, önemli riskleri, kontrol sorunlarını,
kurumsal yönetişim sorunlarını ve denetim komitesinin, yönetim kurulunun ve üst yönetimin
ihtiyaç duyabileceği veya talep edebileceği başka konuları da içermelidir.
2100 - İşin Niteliği
İç denetim faaliyeti; sistematik ve disiplinli bir yaklaşımla, risk yönetimi, kontrol ve yönetişim
sistemlerini değerlendirmeli ve bu sistemlerin iyileştirilmesine katkıda bulunmalıdır.
2110 - Risk Yönetimi
İç denetim faaliyeti; önemli risk maruziyetlerini tespit edip değerlendirerek ve risk yönetimi ve
kontrol sistemlerinin iyileştirilmesine katkıda bulunarak kuruma yardımcı olmalıdır.
2110.A1 - İç denetim faaliyeti kurumun risk yönetim sisteminin etkinliğini gözlemeli ve
değerlendirmelidir.
2110.A2 - İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim, kontrol,
faaliyet ve bilgi sistemlerinin maruz olduğu riskleri değerlendirmelidir:
• Mali ve operasyonel bilgilerin güvenilirliği ve bütünlüğü,
• Faaliyetlerin etkinlik ve verimliliği,
• Varlıkların korunması,
• Kanun, düzenleme ve sözleşmelere uyum.
2110.C1 - İç denetçiler, danışmanlık görevleri sırasında, görevin amaçlarıyla uyumlu şekilde
riski ele almalı ve diğer önemli risklere karşı uyanık olmalıdır.
2110.C2 - İç denetçiler, danışmanlık görevlerinden elde ettikleri risk bilgilerini, kurumun
maruz kaldığı önemli riskleri belirleme ve değerlendirme sürecinde kullanmalıdır.
2120 - Kontrol
İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli gelişimi
teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı olmalıdır.
2120.A1 - Risk değerlendirmesinin sonuçlarına bağlı olarak, iç denetim faaliyeti, kurumun
yönetimini, faaliyetlerini ve bilgi sistemlerini kapsayan kontrollerin yeterliliğini ve etkinliğini
değerlendirmelidir.
Bu değerlendirme:
• mali ve operasyonel bilgilerin güvenilirliğini,
• faaliyetlerin etkinlik ve verimliliğini,
• varlıkların korunmasını,
• kanunlara, düzenlemelere ve sözleşmelere uyum konularını
kapsamalıdır.
2120.A2 - İç denetçiler, faaliyet ve programların hedef ve amaçlarının kapsamını ve bunların
kurumun hedef ve amaçlarına uyumunun derecesini anlayıp değerlendirmelidir.
2120.A3 - İç denetçiler, faaliyet ve programların niyetlenildiği gibi uygulandığını veya
gerçekleştirildiğini belirlemek için, faaliyet ve programların tesbit edilen hedef ve amaçlarla
ne kadar uyumlu olduğunu anlayıp değerlendirebilmek için, faaliyet ve programları gözden
geçirmelidir.
2120.A4 - Kontrollerin değerlendirilmesi için uygun ve yeterli kıstaslara ihtiyaç vardır. İç
denetçiler, yönetimin hedef ve amaçlara ulaşılıp ulaşılmadığını belirlemek için oluşturduğu
kıstasların yeterlilik derecesini tespit etmelidir. Bu kıstaslar yeterliyse, iç denetçiler de kendi
değerlendirmelerinde bunları kullanabilir. Kıstaslar yeterli değilse, iç denetçiler uygun
değerlendirme kıstasları geliştirmek için yönetimle birlikte çalışmalıdır.
2120.C1 - Danışmanlık görevleri sırasında, iç denetçiler, görevin amaçlarıyla uyumlu bir
şekilde kontrolleri ele almalı ve herhangi bir kontrol zaafiyetine karşı uyanık olmalıdır.
2120.C2 - İç denetçiler, danışmanlık görevlerinden elde ettikleri kontrol bilgilerini, kurumun
maruz kaldığı önemli riskleri belirleme ve değerlendirme sürecinde kullanmalıdır.
2130 - Yönetişim
İç denetim faaliyeti, aşağıdaki amaçların gerçekleştirilmesi amacıyla yönetişim sürecinin
iyileştirilmesi için gerekli tavsiyelerde bulunmalı ve tavsiyeleri değerlendirmelidir:
• Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
• Etkili bir kurumsal performans yönetimi ve hesap verebilirlik,
• Risk ve kontrol bilgilerinin kurumun gerekli alanlarına etkili bir şekilde iletilmesi,
• Yönetim kurulunun, denetim kurulunun, iç ve dış denetçilerin ve üst yönetimin faaliyetleri
arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin etkili bir şekilde iletimini
sağlamak.
2130.A1 - İç denetim faaliyeti, kurumun etikle ilgili amaç, program ve faaliyetlerinin
tasarımını, uygulanmasını ve etkinliğini değerlendirmelidir.
2130.C1 - Danışmanlık görevinin amaçları, kurumun genel değerleri ve hedefleriyle uyumlu
olmalıdır.
2200 - Görev Planlaması
İç denetçiler, her görev için, kapsam, amaçlar, zamanlama ve kaynak dağılımı hususlarını da
dikkate alan ayrı bir plan hazırlamalı ve kaydetmelidir.
2201 - Planlamada Dikkate Alınması Gerekenler
Bir görevi planlarken, iç denetçiler şu noktaları dikkate almalıdır:
• Denetlenecek olan faaliyetin hedefleri ve faaliyetin kendi performansını kontrol etmesinin
araçları,
• Faaliyet ve hedeflerine, kaynaklarına ve operasyonlarına yönelik önemli riskler ve bu
potansiyel risklerin etki veya ihtimallerini kabul edilebilir bir seviyede tutmanın yol ve araçları,
• Bir ilgili kontrol çerçevesi veya modeline kıyasla, ilgili faaliyetin risk yönetimi ve kontrolü
sistemlerinin yeterlilik ve etkinliği,
• Faaliyetin risk yönetimi ve kontrol sistemlerinde önemli gelişme sağlama imkânları.
2201.A1 - Kurum dışındaki taraflar için bir görevlendirme planlarken, iç denetçiler,
görevlendirmenin amaçları, kapsamı, her iki tarafın sorumlulukları ve -görev kayıtlarına
erişime ve sonuçların dağıtımına getirilecek kısıtlamalar dahil- diğer karşılıklı beklentiler
konusunda söz konusu taraflarla yazılı bir anlaşma yapmalıdır.
2201.C1 - İç denetçiler, görevlendirmenin amaçları, kapsamı, yerine getirilecek sorumluluklar
ve diğer müşteri beklentileri hakkında, danışmanlık hizmeti verecekleri müşterileriyle
anlaşmalıdır. Çok önemli görevlendirmelerde bu anlaşma yazılı hâle getirilmelidir.
2210 - Görev Amaçları
Görev amaçları, denetlenen faaliyetle ilgili riskleri, kontrolleri ve yönetişim süreçlerini
kapsamalıdır.
2210.A1 - İç denetçi, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmalıdır.
Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmalıdır.
2210.A2 - İç denetçiler, görevin amaçlarını belirlerken, önemli hatâların, düzensizliklerin,
aykırılıkların ve diğer risklerin meydana gelme ihtimalini göz önüne almalıdır.
2210.C1 - Danışmanlık görevlerinin amaçlarında, müşteriyle mutabık kalındığı ölçüde, risk,
kontrol ve yönetişim süreçlerine de temas edilmelidir.
2220 - Görev Kapsamı
Görevin kapsamı, görevin amaçlarına ulaşılmasına yetecek seviyede olmalıdır.
2220.A1 - Görevin kapsamı, üçüncü tarafların sahip oldukları dahil, ilgili sistemlerin,
kayıtların, personel ve maddî varlıkların değerlendirilmesini de içermelidir.
2220.A2 - Bir güvence görevi sırasında önemli danışmanlık fırsatları çıkarsa, görevin
amaçları, kapsamı, karşılıklı sorumluluklar ve diğer beklentilerle ilgili yazılı bir anlaşma
hazırlanmalı ve danışmanlık görevinin sonuçları, danışmanlık standartlarına uygun olarak
raporlanmalıdır.
2220.C1 - İç denetçiler, danışmanlık görevlerini yaparken, görevin kapsamının, üzerinde
mutabık kalınan amaçlara yeterince temas ettiğinden emin olmalıdır. Eğer görev sırasında
kapsamla ilgili ihtirazî kayıtları olursa, göreve devam edip etmeyeceğini belirlemek üzere,
bunları müşteri ile tartışmalıdır.
2230 - Görev Kaynaklarının Tahsisi
İç denetçiler, görevin amaçlarına ulaşmak için gereken kaynakları tespit etmelidir. Görev
kadrosu, görevin niteliği, karmaşıklığı, zaman kısıtlamaları ve mevcut kaynaklar dikkate
alınarak teşkil edilmelidir.
2240 - Görev İş Programı
İç denetçiler, görev amaçlarına yönelik iş programları hazırlamalıdır. Bu iş programları, kayıtlı
hâle getirilmelidir.
2240.A1 - İş programları, görev sırasında uygulanacak bilgi toplama, analiz, değerlendirme
ve kayıt prosedürlerini içermeli ve göstermelidir. İş programı, işe başlanmadan önce
onaylanmalıdır; programda yapılan değişiklikler için de derhal onay alınmalıdır.
2240.C1 - Danışmanlık görevleri için hazırlanan iş programlarının şekli ve içeriği, görevin
niteliğine bağlı olarak değişir.
2300 - Görevin Yapılması
İç denetçiler, üstlendikleri görevin hedeflerine ulaşmak için yeterli bilgileri belirlemeli, analiz
etmeli, değerlendirmeli ve kaydetmelidir.
2310 - Bilgilerin Tespiti ve Tanımlanması
İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri
tespit etmeli ve tanımlamalıdır.
2320 - Analiz ve Değerlendirme
İç denetçiler, vardıkları sonuçları ve görev sonuçlarını uygun analiz ve değerlendirmelere
dayandırmalıdır.
2330 - Bilgilerin Kaydedilmesi
İç denetçiler, vardıkları kanaatlere ve görev sonuçlarına dayanak teşkil eden bütün bilgileri
kaydetmelidir.
2330.A1 - İç Denetim Yöneticisi, görev kayıtlarına erişimi kontrol etmelidir. İç Denetim
Yöneticisi, gerektiğinde, bu kayıtları kurum dışı taraflara vermeden önce, üst yönetimin
ve/veya hukuk danışmanının onayını almalıdır.
2330.A2 - İç Denetim Yöneticisi, görev kayıtlarının saklanmasına ilişkin esasları
belirlemelidir. Bu esaslar, kurumun temel ilkelerine ve ilgili mevzuata uygun olmalıdır.
2330.C1 - İç denetim yöneticileri, görev kayıtlarının tutulması, saklanması ve kurum içi ve
dışı taraflara sunulmasını düzenleyen politikalar belirlemelidir. Bu politikalar, kurumun
düzenlemelerine, ilgili mevzuata ve diğer gereklere uygun olmalıdır.
2340 - Görevin Gözetim ve Kontrolü
Görevler; görev amaçlarına ulaşılmasını, kalitenin güvence altına alınmasını ve personelin
geliştirilmesini sağlayacak bir tarzda gözetlenmeli ve kontrol edilmelidir.
2400 - Sonuçların Raporlanması
İç denetçilerin, görev sonuçlarını raporlaması gerekir.
2410 - Raporlama Kıstasları
Raporlamalar, varılan sonuçlar, yapılan tavsiyeler ve önerilen eylem planlarının yanında
görevin hedeflerini ve kapsamını da içermelidir.
2410.A1 - Sonuçları gösteren nihaî rapor, gerektiğinde, iç denetçinin görüş ve kanaatlerini de
içermelidir.
2410.A2 - İç denetçiler, görev raporlamalarında tatminkâr bir performans göstermeye teşvik
edilmelidir.
2410.A3 - Görev sonuçları kurum dışındaki taraflara bildirilirken, söz konusu bildirim,
sonuçların dağıtımı ve kullanımı konusundaki sınırlamaları da içermelidir.
2410.C1 - İlerlemenin raporlanmasının ve danışmanlık görevlerinin sonuçları,
görevlendirmenin niteliğine ve müşterinin ihtiyaçlarına bağlı olarak, şekil ve içerik değiştirir.
2420 - Raporlamaların Kalitesi
Raporlamalar, doğru, objektif, açık, özlü, yapıcı, tam olmalı ve zamanında sunulmalıdır.
2421 - Hatâ ve Eksiklikler
Eğer nihaî raporlama önemli bir hatâ veya eksiklik içeriyorsa, İç Denetim Yöneticisi, hatâlı ve
eksik raporu alan bütün taraflara düzeltilmiş bilgileri iletmelidir.
2430 - Görevlendirmelerde Standartlara Aykırılıkların Açıklanması
Standartlara aykırılıklar belli bir görevi etkilediğinde, sonuçların raporlanırken şu hususlar
özel durum olarak açıklanmalıdır:
• Tam olarak uyulamayan Standart(lar)
• Aykırılık sebepleri
• Aykırılığın göreve etkisi
2440 - Sonuçların Raporlanması
İç Denetim Yöneticisi, görev sonuçlarını uygun taraflara raporlamalıdır.
2440.A1 - Görev sonuçlarının öngördüğü tedbirlerin alınmasını sağlayabilecek taraflara, nihaî
görev sonuçlarının raporlanmasından İç Denetim Yöneticisi sorumludur.
2440.A2 - İç Denetim Yöneticisi, aksi kanunî, hukukî düzenlemelerle emredilmediği takdirde,
görev sonuçlarını kurum dışındaki taraflara iletmeden önce, kuruma doğabilecek muhtemel
riskleri değerlendirmeli, üst yönetim ve/veya hukuk danışmanı ile istişare etmeli ve sonuçların
raporlanmasını, kullanımını kısıtlayarak, kontrol etmelidir.
2440.C1 - İç Denetim Yöneticisi, danışmanlık görevlerinin nihaî sonuçlarının müşterilere
raporlanmasından sorumludur.
2440.C2 - Danışmanlık görevleri sırasında, risk yönetimi, kontrol ve yönetişim sorunları tesbit
edilebilir. Bu sorunlar, kurum için önemli hâle gelir gelmez üst yönetime, denetim komitesine
ve yönetim kuruluna bildirilmelidir.
2500 - İlerlemenin Gözlenmesi
İç Denetim Yöneticisi, yönetime rapor edilen sonuçların akıbetinin gözlenmesi için bir sistem
kurmalı ve uygulamalıdır.
2500.A1 - İç Denetim Yöneticisi, yönetimin aldığı tedbirlerin etkili bir şekilde uygulanmasını
veya üst yönetimin, gerekli tedbiri almamasının riskini üstlenmeyi kabul etmesini sağlamak
ve gelişmeleri gözlemek amacına yönelik bir takip süreci kurmalıdır.
2500.C1 - İç denetim faaliyeti, müşterileriyle mutabık kalındığı ölçüde, danışmanlık
görevlerinin sonuçlarının akıbetini gözlemelidir.
2600 - Yönetimin Artık Riskleri Üstlenmesi
İç Denetim Yöneticisi, üst yönetimin kurum için kabul edilemeyebilecek bir artık (bakiye) risk
düzeyini üstlenmeyi kabul ettiğine inandığı takdirde, konuyu üst yönetimle tartışmalıdır. Artık
riskle ilgili bir karara varılamazsa, İç Denetim Yöneticisi ve üst yönetim, konuyu
çözümlenmesi için denetim komitesi ve yönetim kuruluna rapor etmelidir.
Download